Todos os posts em Entrevistas

Entrevista com… Carlos Serrão

por David Sopas em 30 de Agosto de 2012 em Entrevistas com 0 comentários Tweet
Entrevista com... Carlos Serrão

Após entrevistas a Peleus Uhley e Robert ‘RSnake’ Hansen calha a vez de um português… Carlos Serrão, líder do capítulo português da OWASP.
Nesta entrevista, Carlos fala da OWASP e do atual estado da segurança da informação em Portugal.

David Sopas: O que é OWASP?
Carlos Serrão: OWASP significa “Open Web Application Security Project” e é uma fundação americana (mas de alcance global e geral) que se encarrega de dinamizar uma comunidade internacional em torno de um princípio comum: a segurança nas aplicações Web (embora ultimamente o foco seja a segurança aplicacional em geral). São muitas as iniciativas da OWASP, que oferece documentação, ferramentas, projetos, eventos e muitos outros. Mais fácil do que estar aqui a enunciar cada um deles, para mais informação sobre a OWASP é só apontar o browser para www.owasp.org.
A OWASP é caracterizada por ser uma comunidade aberta, livre à participação de todos e que se baseia no modelo de que tudo o que é produzido pela comunidade sobre o “chapéu” da OWASP reverte em favor da mesma (e não só).
A OWASP, e em especial o OWASP Top 10, tem vindo a afirmar-se cada vez mais como uma referência a nível internacional, e é muito fácil encontrar hoje este Top 10 em cadernos de encargos de desenvolvimento aplicacional para a Web.

DS: Como chegaste a líder do charter PT da OWASP?
CS: Bem, em primeiro lugar não gosto muito da designação de líder. Parece-me um título exagerado e o qual acho que não mereço. Considero-me mais uma espécie de dinamizador ou de evangelista, que tenta fazer passar para terceiros as principais mensagens da OWASP e promover a sua missão, em especial no que diz respeito à comunidade local.
Como o “chapter” da OWASP PT foi criado prende-se um pouco com uma coincidência feliz. Andava eu a fazer algum trabalho de investigação no âmbito da minha Tese de Doutoramento, quando conheci pela primeira vez a OWASP e o site da organização. Depois de mais algum estudo do mesmo, cheguei à conclusão de que era uma comunidade muito interessante (composta por algumas empresas e profissionais muito reconhecidos no sector) e que o trabalho que desenvolvia era meritório de elevado crédito. Por outro lado, verifiquei que a OWASP adoptava uma organização muito horizontal e descentralizada, como forma de chegar aos quatro cantos do Mundo, permitindo a constituição de diversos “chapters” (delegações) locais e regionais. Verifiquei igualmente, que o nosso “cantinho à beira mar plantado” não fazia ainda parte do“ecossistema” da OWASP.
Resolvi por isso na altura propor à OWASP e a mim mesmo a criação de “chapter” da OWASP nacional, o qual tenho vindo a tentar dinamizar até agora.
Infelizmente, o tempo por vezes não abunda, e umas vezes mais depressa, outras um pouco mais devagar, o “chapter” local tem vindo a crescer, quer em termos de iniciativas ,quer em termos de membros da própria OWASP.
O modelo de liderança do nosso “chapter” é algo sobre o qual já me tenho debruçado, e que precisa de ser repensado, como forma de aumentarmos o dinamismo e o crescimento da própria organização. Penso que o modelo mais adequado para isto, é termos uma estrutura diretiva, não muito formal, mas constituída por entre três a cinco elementos, que durante um determinado período de tempo fixo, assumissem o papel de uma Direção paraa OWASP Portugal. É algo de facto a considerar nos próximos tempos.
Não me considero por isso, de todo um líder, mas antes alguém que tenta dinamizar (quando o tempo abunda), a comunidade portuguesa que possa ter interesse nestes tópicos relacionados com a segurança aplicacional Web.

Enfim, vai-se fazendo o possível… :-)

Para consultar a restante entrevista, cliquem aqui.

Gostaria de agradecer ao Carlos Serrão pela disponibilidade e pela simpatia que sempre mostrou com o projecto WebSegura.net.

Entrevista OWASP

por David Sopas em 5 de Fevereiro de 2011 em Curtas, Entrevistas, Eventos com 0 comentários Tweet

Entrevista a Dinis Cruz (OWASP Board Member) e a Carlos Serrão (OWASP Portuguese Chapter Leader) no TeK:

A OWASP prepara para a próxima semana a realização de mais uma conferência que reúne em Portugal alguns dos maiores especialistas de segurança. Em entrevista ao TeK, dois membros da direcção desta organização admitem que há ainda uma grande falta de maturidade nesta área, que decorre da falta de investimento e de lacunas na formação.

(…)

Entrevista com… Peleus Uhley

por David Sopas em 16 de Novembro de 2010 em Entrevistas com 1 Comentário Tweet

Quem é Peleus Uhley? É a pergunta que lhe deve estar a passar pela cabeça.

Peleus é um dos analistas de segurança da equipa de engenharia de software de segurança da Adobe - ASSET e conta com constantes presenças nos maiores eventos de segurança do planeta (ex: Defcon, AppSec, etc.).

A sua principal área de actividade na Adobe, passa por assegurar que os produtos da empresa sejam desenhados, programados e validados segundo as melhores práticas de segurança.

Antes de entrar para a Adobe em 2007, Peleus começou na indústria de segurança como programador para a Anonymizer, Inc., e mais tarde, passou a ser um consultor de segurança para empresas como a @stake e a Symantec.

Apesar de ser uma pessoa bastante ocupada, o Peleus teve a disponibilidade de responder algumas das minhas questões com bastante clareza, promovendo q.b. a segurança da Adobe.

Saliento dois aspectos. A explicação em detalhe do processo de resolução e tratamento de uma falha num produto da Adobe, e o novo projecto da empresa para combater falhas nos documentos PDF utilizando técnicas de sandboxing.

Podem consultar a entrevista aqui. (em inglês)

Gostaria de agradecer ao Peleus Uhley pela participação no projecto WebSegura.net e à Wiebke Lips pela extrema rapidez e simpatia que demonstrou neste processo.

Entrevista com… Robert Hansen

por David Sopas em 8 de Novembro de 2010 em Entrevistas com 1 Comentário Tweet

Para quem ainda não conhece o Robert RSnake Hansen…

Robert Hansen, também conhecido como RSnake, é o fundador e CEO da empresa SecTheory. Trabalhou para empresas como Digital Island, Exodus Communications e Cable & Wireless ocupando diversos cargos desde Arquiteto de Segurança Sênior e eventualmente como gerente de produtos de diversos serviços da linha de serviços gerenciados de segurança. Também trabalhou no eBay como Gerente Global Sênior para Confiança e Segurança, focando em anti-phishing, anti-malware de DHTML e estratégias de anti-vírus. Posteriormente ele trabalhou como Diretor de Gerenciamento de Produtos para o site Realtor.com. Robert é membro do conselho consultivo para o Grupo Intrepidus, e anteriormente era membro do conselho consultivo técnico da ClickForensics e atualmente contribui para a estratégia de segurança de diversas companhias startup.

In OWASP.

Robert também é co-autor do livro XSS Exploits e autor do Detecting Malice.
Para muitos especialistas da área, é considerado uma das maiores influências na segurança web.

Tive o prazer de trocar umas palavras com o Robert, no qual transcrevo algumas das questões que lhe fiz: (para os interessados fica aqui a entrevista original em inglês):

David Sopas: Como te interessaste pela segurança web?
Robert Hansen: Um dia li um artigo que demonstrava como era possível usar o telnet para conectar a qualquer porta que quiséssemos e, no caso da porta 80, podíamos mesmo interagir com os servidores web.
Nem quis acreditar que era verdade, porque sempre pensei que o telnet era um simples programa que apenas conseguia comunicar com protocolos específicos e não um programa genérico que conseguia comunicar com vários protocolos.
Portanto, quando me conectei com o telnet à porta 80 e após algum tempo a vaguear, eu vi os cabeçalhos HTTP e alguma informação. Nem quis acreditar nos meus olhos.
Mal me apercebi desta situação foi como se fosse atingido por um raio.
Eu finalmente apercebi-me que que tudo estaria inseguro. Tenta entender, estávamos em 1995, não havia muitos aplicações web interessantes. Mas, todas as que existiam, estavam extremamente expostas e prontas a ser exploradas. Demorou-me uns anos para apreciar em pleno o como estava correcto, mas esta foi a altura da minha primeira experiência com a segurança web.
Hoje em dia, ainda me surpreende a quantidade de profissionais de segurança e web developers que nunca viram os cabeçalhos HTTP.

DS: Na tua opinião, como evoluiu a segurança web nos últimos anos?
RH: A segurança web não existia quando comecei. Não existia tal coisa… Ninguém estava interessado nesse aspecto. Nessa altura, apenas havia um pequeno grupo de analistas de segurança e, menos ainda, os que se preocupavam com websites. Era uma altura em que apenas interessava ser um bom administrador de sistemas e na segurança de redes.
Mais tarde, um conceito chamado CGI security estava em voga porque o SSI e o Perl abriu os olhos a muitas pessoas, principalmente na facilidade de construção de websites dinâmicos.
De seguida, surgiu o termo webappsec e mesmo nessa altura só alguns se interessavam pela segurança web aplicacional. Foram necessários muitos anos para perceberem que a segurança de redes tinha forçado tudo para o HTTP Tunneling. No dia em que ouvi de um projecto que foi desenhado para fazer TCP Tunneling sobre HTTP foi quando percebi que não havia maneira de parar a segurança web. Está aqui para ficar.

DS: Os websites que analisas são mais inseguros hoje em comparação de 3 anos atrás? O que mudou?
RH: Já não analiso os mesmos websites que costumava analisar. O tipo de websites que agora analiso, tendem a ser bem maiores em escala, mas não, não vejo qualquer mudança significativa no número de vulnerabilidades, excepto se estiveres a falar de ASP.NET. A única razão para que o ASP.NET é mais seguro, é por causa dos ViewStates que, se encriptados e verificados cortam vários tipos de vulnerabilidades, como por exemplo CSRF e XSS. O resto das vulnerabilidades, infelizmente, estão ainda bem presentes. Não gosto de falar sobre conformidade mas o PCI parece que forçou as pessoas a corrigir alguns dos “frutos mais maduros”, mas se tu insistes nos websites um pouco mais ou deus me livre, consigas o login, descobres que esses scanners automáticos não fazem muito coisa.

DS: De todas as vulnerabilidades conhecidas, porque decidiste dedicar quase todo o teu trabalho ao XSS? Consideras o XSS o mais perigoso?
RH: Eu não considero o XSS como o tipo de vulnerabilidade mais perigosa. Essa honra deve ser reservada à injecção de comandos, RFIs, SQL Injection e por ai adiante. Considero o XSS como a mistura perfeita de facilidade de causar dano e de execução.
Se eu sou um atacante que é novato, mas que quer ganhar rios de dinheiro, porque razão vou investir dinheiro e tempo a aprender algo complicado, quando posso fazer o mesmo dano com uma simples linha de JavaScript? Não faz qualquer sentido.
Então, enquanto não acho que isso é o pior exploit lá fora, é tão fácil que é impossível de ignorar.
Os criminosos não se importam se o ataque é bonito ou não, eles apenas querem dinheiro - por isso não me interessa muito o que algumas pessoas da indústria de segurança tendem a pensar - estou bem mais interessado na realidade.
Penso que o XSS recebe uma má reputação porque não é tão bonito como outras vulnerabilidades. Se consegues comprometer toda a tua rede com algumas linhas JavaScript, ou pior, com uma simples linha de HTML se falarmos de CSRF, pessoalmente não me importo que as outras vulnerabilidades sejam mais cool - são apenas muito menos prováveis. XSS e CSRF estão aqui para ficar.

DS: Porque razão os erros XSS são tão fáceis de criar?
RH: Codificação de output é um conceito simples, mas ninguém quer compreender os diversos métodos que se podem utilizar para ultrapassar essas codificações. Só porque foi codificado alguma coisa para sair em HTML não significa que o teu colega, que também está a trabalhar no mesmo código, não o atira num espaço de JavaScript, CSS ou outro local. É muito difícil saber onde se vai utilizar, a não ser que controles todos os aspectos do código. E mesmo assim, requer que saibas da vulnerabilidade. É mais fácil errar do que acertar.

DS: Descreve-me alguns exemplos do dano que falhas XSS podem causar?
RH: Em vários casos já foram demonstrados ataques usando falhas XSS para entrar dentro de redes internas, controlar computadores locais, roubar credenciais, fazer phishing de nomes de utilizador e palavras passe, mudar informação em websites, scanear portas, etc… etc… A sério, à parte de esconder as tuas chaves do carro e namorar com a tua mulher, XSS é capaz de quase tudo que possas pensar. É o canivete suíço das vulnerabilidades client side.

DS: Fala-me do teu livro Detecting Malice. Porque é que as pessoas devem lê-lo e quem deve lê-lo?
RH: Eu escrevi o Detecting Malice como uma extensão ao meu blogue. Eu pensei que seria um boa ideia fornecer aos praticantes de segurança, programadores, analistas, e outros, a verdadeira natureza dos casos que tive durante os anos.
Mesmo focando tópicos muito complexos, tentei escrever numa maneira fácil de ler.
Também tentei usar muitos exemplos de situações reais, mesmo que em muitos casos eu fosse algo vago para proteger inocentes e culpados.
Muitos dos fornecedores de segurança compraram o livro e já mencionaram que tentaram implementar algumas das ideias no código deles. Isso é bem interessante!

DS: Qual é a próxima área na segurança de aplicações que devemos prestar mais atenção?
RH: Inter-protocol exploitation é uma enorme área por analisar em segurança. Adorava ver alguém aprofundar nesta área e provar a fragilidade do bloqueio de portas em blacklist do Mozilla.
Podem pensar que após os ataques ao VOIP, Sendmail, IMAP3 e IRC, a Mozilla poderia concordar que o uso de uma whitelist fazia mais sentido, mas presumo que eles estão mais preocupados em não quebrar nada. Eu detestava que tivéssemos de quebrar mais o browser, do que actualmente está, só para eles fazerem o que está certo, mas é onde estamos, penso eu.

DS: Quais são os teus planos para o futuro? Alguns novos projectos?
RH: Tenho mais projectos do que sei o que fazer com eles.
Vou fechar o ha.ckers.org mal chegue aos 1000 artigos. Eu penso que após anos à frente do website, mereço uma pausa.
Infelizmente, eu estou mais ocupado que nunca, por isso os meus planos é beber umas cervejas com o id (o tipo que corre a rede) e voltar para o trabalho. Não existe tempo para descansar nesta área.

DS: Para terminar esta entrevista, tens algumas palavras finais para os leitores portugueses?
RH: Sim, se gostam de segurança, não permitam que as pessoas do topo da industria de segurança ditem os termos/regras no qual fazes a tua pesquisa/análise, divulgação de vulnerabilidades ou o teu trabalho. Tens imenso potencial e a vida é demasiado curta.
Como o meu pai costumava me dizer, “se tu gostas do que fazes nunca mais vais trabalhar um dia na tua vida”. Para uma melhor interpretação - se não te estás a divertir na segurança, estás a fazer algo de errado. Coloca um sorriso na cara e atira-te para o que te faz feliz!

Queria agradecer ao Robert pelo o tempo dispensado e, já lhe prometi, que quando estiver com ele, pago-lhe uma cerveja.

Para concluir, o Robert vai estar presente no evento OWASP AppSec Brasil que decorre nos dias 16 e 19 de Novembro.

Mais recentes →